AridSpy w aplikacjach na Androida. Szpieguje użytkowników za granicą

Badacze bezpieczeństwa z firmy Eset zwracają uwagę na nabierające tempa kampanie oszustów, którzy infekują aplikacje na Androida. W tym przypadku zagrożeniem jest szpiegowski payload AridSpy, który na tę chwilę trafia do programów popularnych za granicą - w Palestynie i Egipcie.

Chociaż w tym momencie nie ma mowy o bezpośrednim zagrożeniu użytkowników w Polsce, wiele razy byliśmy świadkami dynamicznego rozwoju wydarzeń w przypadku podobnych ataków, które po "sprawdzeniu się" na jednym z rynków, szybko są przygotowywane do atakowania aplikacji popularnych w innych krajach, by zwiększyć grono potencjalnych ofiar. Jak podaje Eset, oprogramowanie trafia do telefonów z Androidem w kilku etapach, a wszystko zaczyna się od zainfekowanej aplikacji.

Pobrana i zainstalowana przez użytkownika spreparowana aplikacja pobiera pierwszy z payloadów, który później zdolny jest pobrać kolejną paczkę danych. Dopiero wówczas gotowy jest cały łańcuch oprogramowania, który wymienia dane z serwerem i pozwala atakującym szpiegować użytkownika, który padł ofiarą ataku. Jak podaje Eset, jak dotąd zidentyfikowano pięć kampanii przypisywanych grupie Arid Viper znanej także (między innymi) jako APT-C-23, które realizowane są w ten sposób.

Docelowo skutecznie uruchomiony AridSpy w smartfonie ofiary zdolny jest odczytywać szereg informacji pozwalających w szczegółowy sposób szpiegować poszkodowanego. Możliwe jest między innymi odczytywanie lokalizacji urządzenia, listy kontaktów, historii połączeń, wiadomości SMS, zdjęć z pamięci, zawartości schowka czy powiadomień. Dodatkowe możliwości wchodzą w grę, o ile urządzenie ofiary zostało wcześniej zrootowane.

Dalsza część artykułu pod materiałem wideo

Eset zwraca uwagę, że AridSpy trafia do telefonów z Androidem różnymi drogami, a źródłem problemu nie zawsze są aplikacje, które trafiły do oficjalnego sklepu Google Play. W przypadku opisywanych przypadków zza granicy, oprogramowanie szpiegujące było między innymi rozpowszechniane przez spreparowaną stronę na Facebooku czy alternatywny hosting niezwiązany z oficjalną dystrybucją aplikacji na Androida.